- Hackerii au furat o parolă veche din 2022 pe care Klue nu a revocat-o, reușind să acceseze un sistem cu chei pentru datele clienților.
Un incident recent de securitate arată cât de periculoasă poate fi o parolă uitată. Compania Klue a dezvăluit că hackerii au furat un credential din 2022, pe care firma nu l-a revocat după un pilot limitat, folosindu-l pentru a sparge un sistem ce stochează chei de acces la datele clienților.
Cum s-a produs breșa
Atacatorii au obținut o parolă veche de la un proiect pilot desfășurat în 2022. Deși pilotul s-a încheiat, credentialul nu a fost dezactivat. Hackerii l-au folosit pentru a pătrunde într-un sistem intern care conținea chei criptografice, permițându-le accesul la datele stocate ale clienților. Klue a confirmat incidentul, dar nu a oferit detalii despre câți utilizatori au fost afectați.
De ce nu a fost revocată parola
Nu este clar de ce Klue a păstrat activ un credential după încheierea pilotului. Specialiștii în securitate subliniază că astfel de omisiuni sunt comune în companiile care nu au politici stricte de rotație a parolelor și de revocare a acceselor temporare. O parolă uitată poate deveni o poartă deschisă pentru atacatori ani mai târziu.
Impactul asupra clienților
Breșa a expus date sensibile ale clienților, deși Klue nu a precizat natura exactă a informațiilor. Compania a început notificarea utilizatorilor afectați și a resetat toate cheile de acces compromise. Incidentul subliniază vulnerabilitatea sistemelor care se bazează pe chei stocate centralizat.
Ce înseamnă pentru tine
Dacă ești client Klue, verifică dacă ai primit notificări și schimbă-ți parolele. Pentru toți utilizatorii, lecția este clară: companiile trebuie să implementeze rotația automată a credentialelor și să revoce imediat accesul după încheierea proiectelor. De asemenea, activează autentificarea în doi factori acolo unde este posibil.